セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化

2012/06/19 17:00 : 「Flame への対策」セクションに、失効した証明書を自動で処理する更新プログラム (KB2677070) の記載を追加しました。 2012/6/11 18:45: ターミナル サーバーライセンス インフラストラクチャに以下の変更について記載を、一部修正いたしました。 2012 年 6 月 4 日に公開した セキュリティ アドバイザリ 2718704 に関し、このブログでも注意喚起をしてきましたが、ここでは Flame マルウェアの攻撃特徴および Windows Update に対して行った強化について説明します。 Flame マルウェアの攻撃特徴 Flame は、一部のコンポーネントがマイクロソフトの製品と思い込ませるよう、現在は無効化されているマイクロソフトターミナル サーバー ライセンス サービスの証明書を悪用し自らのコードを署名していました。そして、Windows Vista 以降の OS に対しては、この証明書があっても既定では有効に機能しないため、攻撃者は MD5 ハッシュ衝突攻撃 (Collision Attack) を行い、証明書がコード署名に対して有効であるよう偽造していました。Windows Vista より前の Windows に対しては、この証明書があることで、MD5 ハッシュの衝突なしで攻撃が可能でした。ハッシュ衝突攻撃の詳細に関しては、Security Research & Defense Blog “Flame malware collision…


承認されていない証明書に関するアドバイザリ 2718704 を公開

更新内容:V1.2 (2012/06/18): 失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨 についての記事を追加しました。 更新内容: V1.1 (2012/06/15): セキュリティ アドバイザリ 2718704 を更新し、お客様に Windows Mobile 6.x、Windows Phone 7 および Windows Phone 7.5 デバイスはこの問題の影響を受けないことをお知らせしました。 本日、Flame と呼ばれる複雑で洗練された標的型攻撃に用いられるマルウェアに関するセキュリティ アドバイザリ 2718704 を公開しました。Flame の性質上、大多数のお客様は影響を受けないと予想されます。また、大半のウイルス対策ソフトウェアで Flame の検知および除去が可能です。 しかし、このマルウェアに用いられている技術が他の攻撃者により、より広範に拡散する可能性を考慮し、本アドバイザリおよびこの問題に対応する更新プログラムの公開に至りました。 マイクロソフトは、マイクロソフト認証機関の承認されていないデジタル証明書を使用した攻撃を確認しています。具体的には、このマルウェアのいくつかのコンポーネントがマイクロソフト製品かのように見える署名がされていることを確認しています。 対策 サポートされるすべての Windows が影響を受けます。 マイクロソフトはすべてのサポートされているリリースの Microsoft Windows に対して更新プログラムを提供しています。この更新プログラムは、次の中間 CA 証明書を失効させます: Microsoft Enforced Licensing Intermediate PCA (証明書 2 つ) Microsoft Enforced Licensing Registration Authority CA…